Il data breach di Marriott International, che tra il 2014 e il 2018 espose i dati di 383 milioni di clienti iscritti al programma fedeltà degli hotel Starwood, costerà caro al gruppo proprietario di catene alberghiere. Meno però, molto meno di quanto non avrebbe potuto costare. La multa dell’Information Commissioner's Office (Ico), l’ente britannico di tutela della privacy, è stata ridotta a 18,4 milioni di sterline, ovvero meno di un quinto rispetto agli oltre 99,2 milioni di sterline inizialmente previsti nell’annuncio dello scorso luglio.
Una sanzione che aveva fatto il paio con quella da 183 milioni di sterline scagliata dall’Ico verso British Airways, azienda anch’essa colpevole di non aver adeguatamente difeso i dati dei propri clienti da un hackeraggio. Somme tanto alte prima non si erano mai viste in una multa per data breach ed erano cnseguenza dell’entrata in vigore del nuovo regolamento europeo sulla protezione dei dati personali, il Gdpr.
La colpa di Marriott International, in particolare, era stata quella di non aver assicurato adeguati standard di sicurezza ai dati degli iscritti al programma fedeltà, a causa di mancate “misure tecniche od organizzative” nel trattamento delle informazioni. Dunque gli autori della violazione avevano potuto accedere ai dati di prenotazione delle stanze, inclusivi di nomi e cognomi, indirizzi email, numeri di telefono, numeri di passaporto e altro ancora.
Ora l’azienda si è vista ridurre sensibilmente la cifra, e ci è riuscita in due modi. Innanzitutto, dimostrando di aver imparato la lezione cercando subito di rimediare al danno. “Marriott”, scrive l’Ico, “ha agito rapidamente per contattare i clienti e l’Ico”, e inoltre “ha agito velocemente per mitigare il rischio di danni ai consumatori”. In secondo luogo, il drammatico impatto della pandemia di covid-19 sul settore alberghiero ha impietosito l’ente watchdog, che ha ben pensato di ridurre sensibilmente l’importo della multa per non pesare sui conti di un’azienda già tanto penalizzata dai lockdown.